Ing y Mg. Elmer Arturo Carballo Ruiz.

Introduccin a la Gestin de Riesgos

La norma ISO 31000 para la Gestin de Riesgos
Principios
Marco de Trabajo
Procesos
Pasos para la elaboracin de un Modelo de Gestin de
Riesgos.
 Las organizaciones de todos los tipos y tamaos se enfrentan a factores e
influencias internas y externas que hacen que sea incierto si y cundo lograrn
sus objetivos. El efecto que esta incertidumbre tiene sobre los objetivos de una
organizacin es el "riesgo".

Todas las actividades de una organizacin implican riesgos.

La gestin de riesgos puede aplicarse a toda una organizacin, reas y/o niveles
La ISO 31000:2009 permite a las empresas incorporar estndares y procesos
ofreciendo principios y directrices genricas sobre Gestin de Riesgos
Hay tres elementos claves:
Principios para la gestin del riesgo ( clausula3)
Marco de Trabajo para la gestin de riesgos ( clausula 4)
Proceso para la gestin del riesgo ( clausula 5)
Aplicabilidad:
A cualquier tipo de riesgo, cualquiera que sea su
naturaleza, si el hecho positivo o consecuencias
negativas.
Por cualquier institucin pblica, privada o
empresa de la comunidad, grupo o individuales.
No se destine a los fines de la certificacin.
Cualquier tipo de riesgo, cualquiera que sea su
naturaleza
Proporciona Directrices Genericas, no pretende
uniformizar la Gestin del Riesgo.
Organizacin Definicin de Riesgo
ISO 31000 Efecto de incertidumbre sobre objetivos. Tenga en cuenta
que un efecto puede ser positivo, negativo o una desviacin de
lo esperado. Tambin, el riesgo es descrito a menudo por un
acontecimiento, un cambio en circunstancias o una
consecuencia.
Instituto de Gestin de El riesgo es la combinacin de la probabilidad de un evento y
Riesgos (IRM) su consecuencia. Las consecuencias pueden variar de positivo
a negativo.
"Orange Book" Incertidumbre del resultado, dentro de un rango de
exposicin, que surge de una combinacin del impacto y la
probabilidad de eventos potenciales
Instituto de los Auditores La incertidumbre de un evento que podra tener un impacto
Internos en el logro de los objetivos. El riesgo se mide en trminos de
consecuencias y probabilidad.
 La palabra riesgo se deriva del latin risicare que significa atreverse, en este
sentido, el riesgo es ms una eleccin que un destino al que nos debemos
resignar.
Definicin de riego segn ISO 31000
El efecto de la incertidumbre sobre los objetivos de una empresa
Es un evento que si ocurre puede tener un efecto positivo o negativo sobre la
organizacin o proyecto.
Un riesgo siempre se compone de causas y consecuencias
A causa de X puede suceder el evento Y y que puede provocar las consecuencias
Z
Un riesgo puede ser :
Oportunidad (+)
Amenaza(-)
Riesgo = Probabilidad * Impacto que ocurra( en ejecucin, costo, plazo)

Se considera riesgo la estimacin

del grado de exposicin de un
activo a que una amenaza se
materialice sobre el causando
daos a la organizacin, segn ISO
27001.
 NOTA 1 Un efecto es una desviacin de lo esperado - positivos y / o negativos en los
Objetivos
NOTA 2 puede tener diferentes aspectos (como la salud financiera, y la seguridad, y los
objetivos medioambientales) y puede aplicar en diferentes niveles (como estratgica, en
toda la organizacin, proyecto, producto y proceso).
NOTA 3: El riesgo se caracteriza a menudo por referencia a los eventos potenciales y
consecuencias, o un combinacin de estos.
NOTA 4 El riesgo se expresa a menudo en trminos de una combinacin de las
consecuencias de un evento (incluidos los cambios en las circunstancias) y la
probabilidad asociada de ocurrencia.
NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de la
informacin relacionada con la comprensin o conocimiento de una caso, su
consecuencia, o la probabilidad.
Podemos hacer
Acciones mitigadoras : Antes que el riesgo suceda
Acciones de contingencia : cuando el riesgo sucede
Se debe identificar el evento que va desencadenar el riesgo

Riesgos Individuales: afectan los objetivos de un proyecto en particular

Riesgos globales : es ms que la suma de los riesgos individuales de un proyecto u
organizacin.
 Los riesgos siempre llevan asociados
un tema econmico
Impacta econmicamente:
Reservas: Provisin de fondos para
mitigar riesgos
Reservas de gestin
Reservas de contingencias
 Amenaza: Son los eventos que pueden desencadenar un incidente, produciendo
daos materiales o inmateriales a los activos.
Las vulnerabilidades: son las debilidades que tienen los activos o grupos de
activos que pueden ser aprovechadas por una amenaza
El Impacto es la consecuencia materializacin de una amenaza sobre un activo.
Salvaguardas son las prcticas o procedimientos o mecanismos que reducen el
riesgo. Estas pueden actuar disminuyendo el impacto o probabilidad.
Riesgo Residual: Que es el riesgo que queda despus de aplicar los salvaguardas
o controles. Por mucho que se proteja el activo es imposible eliminar el riesgo al
100% por lo que siempre quedar un riesgo residual en el sistema que la
organizacin deber asumir y vigilar.
El Riesgo siempre antecede al problema

Una vez se conoce las causas y consecuencias que pueden impactar.

 Tiene como objetivo ayudar a las organizaciones a gestionar el riesgo con
efectividad
La norma recomienda que las organizaciones desarrollen, implementen y mejoren
un marco de trabajo cuyo objetivo es que se integre la gestin de riesgos en la
direccin, planificacin, cultura, polticas y valores de la organizacin.
La implementacin de un sistema de gestin de riesgos acorde a la ISO 31000
permite:
Incrementar la probabilidad de conseguir los objetivos
Fomentar la gestin proactiva
Ser consciente de la necesidad de identificar y tratar el riesgo en todos los niveles de la
organizacin.
Mejorar la identificacin de oportunidades y amenazas.
 Cumplir los requisitos legales y
normativas aplicables as como las
normas internacionales
Mejorar la informacin financiera
Mejorar la gestin empresarial
Establecer una base fiable para la
toma de decisiones y planificacin
Mejorar el control
Distribuir y utilizar de forma efectiva
los recursos para la gestin de riesgos
Mejorar la eficacia y eficiencia
operacional
Aumentar la seguridad y salud
Mejorar la prevencin as como la
gestin de incidentes
Minimizar las perdidas
Mejorar el aprendizaje organizativo
Mejorar la resistencia organizativa
Recomienda desarrollar un marco cuyo propsito sea integrar el proceso, relaciones
entre los principios y el marco de trabajo y los procesos para la gestin del riesgo
1. Crea y protege valor
2. Es una parte integral de todos los procesos de la organizacin
3. Es parte de la toma de decisiones
4. Aborda explcitamente la incertidumbre.
5. Es sistemtica, estructurada y oportuna
6. Basada en la mayor informacin posible.
7. Es adaptada ( hecha a la medida)
8. Considera los factores humanos y culturales
9. Es dinmica reiterativa y receptiva al cambio(sensible)
10. Facilita la mejora continua de la organizacin.
Estos principios ayudan a construir de una mejor forma el marco de trabajo o
referencia .
 Mandato y Compromiso

Diseo del Marco

Mejora Continua del Implementacin de la

Marco Gestin de Riesgos

Supervisin y Revisin
del Marco
 Definir y aprobar la poltica de gestin de riesgos
Asegurarse que la cultura de la organizacin y gestin de riesgos estn alineados
Determinar el riesgo de indicadores de gestin del rendimiento que se alinean
con los indicadores de desempeo de la organizacin
Asegurar el cumplimiento legal y regulatorio
Asignar responsabilidades y obligaciones en los niveles apropiados dentro de la
organizacin.
Asegurarse que los recursos necesarios se asignan a la gestin de riesgos
Comunicar los beneficios de la gestin de riesgos a todos los interesados
Asegurarse de que el marco para la gestin del riesgo sigue siendo apropiado
 Entendimiento de la organizacin y su contexto
Establecimiento de las polticas de gestin de riesgos
Responsabilidades
Integracin con los procesos de una organizacin
Recursos
Establecimiento de canales de comunicacin interna y mecanismos de reportes
Establecimiento de canales de comunicacin externa y mecanismos de reportes
 Aplicacin del framework para la gestin del riesgo
Definir el momento oportuno y la estrategia para la aplicacin del framework.
Aplicar la poltica de gestin del riesgo y procesos organizativos
Cumplir con los requisitos legales y regulatorios
Asegurarse que la toma de decisiones se desarrolle y establezca los objetivos alienados
con los resultados de la gestin del riesgo
Celebrar sesiones de informacin y formacin
Comunicarse y consultar con las partes interesadas
Implementacin del framework de gestin de riesgos

Implementacin del proceso de gestin de riesgos.

 Medir el rendimiento de la gestin del riesgo respecto a los indicadores
Medir el progreso en contra del plan de gestin de riesgos
Revisar peridicamente si el framework, la poltica y el plan siguen siendo
adecuados.
Informar sobre el riesgo, el progreso con el plan de gestin de riesgos y la poltica
Evaluar la eficacia del framework de la gestin del riesgo
 En base a los resultados del seguimiento y opiniones, las decisiones deben
tomarse sobre la forma de gestin de riesgos , el marco , la poltica y el plan puede
mejorar. Estas decisiones deben conducir a la mejora de la organizacin de
gestin del riesgo y su cultura de gestin de riesgos.
 Son los procesos para aumentar la probabilidad y el impacto de las oportunidades
y disminuir las probabilidades y el impacto de las amenazas.
Segn la ISO 31000 se trata de las actividades coordinadas para dirigir y controlar
una organizacin con respecto al riesgo.
En toda organizacin hay algo que nos genera incertidumbre y puede impactar
 Comunicacin y Consulta (5.2): para las partes interesadas
Establecer el contexto (5.3) : Articula los objetivos, alcance y los criterios de riesgos
para el proceso.
Evaluacin de Riesgos (5.4)
Identificar el riesgo : Generar una lista de riesgos en base aquellos eventos que puedan
aumentar, degradar, acelerar o retrasar el logro de los objetivos.
Analizar el riesgo: Involucra la causa y las fuentes, sus consecuencias y la probabilidad que
tales ocurrencias puedan ocurrir.
Evaluar el Riesgo : Es facilitar la toma de decisiones basada en los resultados del riesgo

Tratar los riesgos (5.5): El tratamiento involucra uno o ms acciones para modificar los
riesgos y la implementacin de tales acciones.
Monitorizacin y Revisin (5.6) : Todos estos procesos deben interactuar con el
monitoreo y la revisin
Registro de los procesos de la gestin del riesgo(5.7)
 ESTABLECIMIENTO DEL CONTEXTO

Contexto externo: entorno legal, tecnolgico,

competitivo, de mercado, cultural, social y
econmico, etc.
Contexto interno: valores, cultura,
conocimientos y desempeo de la organizacin,
recursos, personas, comunicacin, etc.
Podemos clasificar los riesgos en distintos tipos:
Riesgos estratgicos: se consideran claves e irrenunciables.
Riesgos operacionales: afectan a la gestin operativa, y que pueden
llegar a afectar significativamente a las operaciones de la
organizacin, a la conformidad de los productos y a la capacidad de
aumentar la satisfaccin del cliente.
Riesgos financieros: aquellos que afectan directamente a la gestin
econmico-financiera de la empresa
Riesgos de cumplimiento: aquellos que afectan a requisitos legales
de obligado cumplimiento.
Para cada uno de los procesos, debemos identificar los riesgos, las
causas y consecuencias de los mismos.

RIESGO TIPO CAUSA CONSECUENCIA

Relacin Causa - Efecto

Consiste en comprender el riesgo identificado para proporcionar la
confianza suficiente para valorar el riesgo y tomar decisiones. Para ello
debemos considerar:
las causas (una o varias)
las fuentes del riesgo
las consecuencias (una o varias)
la probabilidad de que estas consecuencias ocurran
los controles actuales y su eficacia
 Proceso que consiste en identificar los riesgos de seguridad en la
organizacin, determinar su magnitud e identificar las reas que se quieren
implementar salvaguardas.
Gracias a este anlisis se puede determinar el impacto econmico de un fallo
de seguridad y la probabilidad real que ocurra un fallo.
La inversin en seguridad tiene que ser proporcional al riesgo.
El anlisis de Riesgos se basa en el inventario de activos que se ha realizado
previamente. Si es muy extenso hacerlo el anlisis slo a los activos ms
criticos.
 Se identifican las amenazas , se realiza una valoracin en funcin del impacto que la
amenaza puede causarle en el caso se materialice.
Se analiza las vulnerabilidades de los activos identificados y una valoracin de las
mismas.
Si un activo esta expuesto a una amenaza pero no tiene una vulnerabilidad que le
permite manifestarse, el riesgo es menor que exista la vulnerabilidad.
Luego se analiza las medidas de seguridad o salvaguardas ya implantadas en la
organizacin
Los resultados del anlisis de riesgos definen el nivel de riesgo que esta expuesto la
organizacin y tomar medidas al respecto.
Determinar que riesgos se consideran ya controlados y cuales habra que
tratar, as como su prioridad.
NIVELES DE RIESGO

Debemos definir un
mtodo de valoracin
de riesgos y unos
criterios de
valoracin.
R = P*C
 VALORACION DEL RIESGO

OPCIONES DE GESTIN DEL RIESGO / EN FUNCIN DEL NIVEL

EVALUACIN RIESGO - NIVEL DE RIESGO
DE RIESGO ADMISIBLE

BAJO * Asumir el riesgo

MODERADO * Reducir el riesgo

* Evitar el riesgo
ALTO
* Compartir o transferir el riesgo

* Reducir el riesgo
EXTREMO * Evitar el riesgo
* Compartir o transferir el riesgo
 Debemos identificar para cada uno de los riesgos el nivel de riesgo
como resultado de la probabilidad y la consecuencia.
RIESG TIP CAUS CONSECUENC P C NIVEL DE CONTROLES EFECTIV P C NIVEL DE
O O A IA RIESGO O? RIESGO

Riesgo Inherente Riesgo Residual

Prioriza riesgos , anlisis a nivel
global de proyecto , programa,
cartera, organizacional.
 TRATAMIENTO DEL RIESGO

Determinados los riesgos que, no se encuentran suficientemente

controlados superando el nivel de riesgo aceptado, se debern establecer
medidas y controles para mitigarlo y mantenerlo bajo control, con el
fin de que en un plazo determinado se encuentre en el nivel admisible.

Las actuaciones estarn dirigidas a reducir la probabilidad, las

consecuencias o ambos.

Esta fase requiere una planificacin documentada de acciones a

realizar: qu se va hacer, quin, cmo, plazos, presupuesto, orden de
prioridad, etc.
 Evitar Evaluacin y rango del riesgo

Transferir
Si
Riesgo
Mitigar Aceptable Acepta
No
Aceptar
Reducir Reducir Transferir total o Evitar
Probabilidad consecuencias parcialmente

Valorar opciones de tratamiento

Preparar planes de tratamientos

Implantar planes de tratamiento

Si
Retener
Riesgo
(Residual)
Aceptable
No
Explotar Compartir Mejorar Aceptar Oportunidades
 Planes de
Contingencia
 SEGUIMIENTO Y CONTROL

Debemos realizar un seguimiento y control de las acciones planificadas

de forma peridica o como respuesta a un hecho especfico, asegurando:
el plan de tratamiento se implanta y es eficaz
el proceso de gestin de riesgos es adecuado, detectando cambios
producidos en el contexto, en los criterios de riesgo, etc.
 Reevaluacin de los riesgos
Auditorias de los riesgos
Anlisis de Variacin y Tendencias
Anlisis de Reservas
Situacin del Estado del Proyecto u Organizacional.
 El instrumento por excelencia para medir el MATRIZ CRUZADA
riesgo es una matriz cruzada, donde se
verifica que consecuencia se puede tener el
evento que se estudia y la probabilidad.
Ej. Eje vertical de probabilidad, el eje
horizontal la consecuencia ( IMPACTO).
Un evento de considerarse catastrfico
cuando de llegar a presentarse determina
una situacin donde no puede recuperarse ,
no hay lugar a una segunda oportunidad.
Entonces identifique el evento que se
quiere estudiar, hallar la probabilidad y se
calcula la consecuencia, el lugar donde se
crucen puede ser un riesgo alto, medio o
bajo.
 El riesgo se mueve entre dos extremos
En medio de las fronteras de certeza
total e incertidumbre esta el riesgo.
El riesgo es una situacin en la que se
conocen las variables , es decir, se
pueden medir porque hay variables,
pero el efecto de lo que se hace y sus
consecuencias son probables..
 Se inicia identificando una situacin potencial
, acontece un evento y luego se presenta unas
consecuencias, luego de este hay una
materializacin en el estado de resultado de
una organizacin , ya sea para beneficios o
prdidas.
Entre una situacin potencial y el evento ,
cuando no se desea el riesgo, se puede
colocar una barrera denominada prevencin
Evite que las cosas pasen entre el evento que
ya ha sucedido y las consecuencias , se puede
colocar una barrera de la reduccin , las
consecuencias se hacen menor.
Entre las consecuencias y la materializacin
se puede colocar una transferencia, es
cuando se entrega el riesgo a otro.
Asumir el riesgo, cuando se materializa se
asume las consecuencias de perdidas o
ganancias, puede aumentar o disminuir el
activo.
Ing y Mg. Elmer Arturo Carballo Ruiz.
 Hacer oficial el compromiso de los dueos, directivos e interesados de la
organizacin. El compromiso se debe dejar reflejado en documentos oficiales.
Determinar el contexto de la empresa: Buscar la informacin pertinente para
identificar los riesgos,
El direccionamiento estratgico ( Misin, Visin, Amenazas, Fortalezas, Debilidades).
Como funciona la empresa y quienes estn involucrados,
Los controles.
Identificar las leyes y normas que regulan El sistema de
gestin
Determinar factores de riesgos: Analizar clientes externos o internos Objetivos
Polticas
Identificar la situacin actual de la organizacin Estructura
Organizacional
Controles Internos
 Para cada factor de riesgos listar los eventos que ponen en peligro los activos de la
organizacin, se denominan eventos de riesgos
Recursos que sirven para identificar son: la experiencia organizacional y del rubro
de la empresa, anlisis de los expertos sobre la tipologa de las seales de alerta,
documentacin dedicados a la gestin de riesgos
Cmo y porqu suceden los eventos del riesgo?, los riesgos se expresan en
trminos de consecuencias , identificar la causa , y la manera de expresarlo es a
travs de una matriz de riesgos.
Esto permitir analizar y clasificar cada riesgo por separado definiendo acciones
para su intervencin.
 Se mide la probabilidad que el riesgo se materialice y el impacto para la organizacin,
la combinacin de estos dos factores da el nivel de severidad.
Los recursos que se pueden utilizar para la medicin del riesgo son:
Experiencia de la industria
Historial de Eventos
Experiencia del Oficial del cumplimiento o gestionador de riesgos
Opinin de expertos o asesores.
Se considera la probabilidad que el evento suceda, se asigna un valor ( probable,
posible, raro)
El impacto se mide por el nivel de dao o perdida que puede causar por ejemplo :
reputacin , perdidas econmicas, entre otros.
A la severidad de los daos se le asigna un valor ( Alto, medio, bajo)
Se puede agregar a la matriz de riesgo el nivel de severidad, esto permite organizarlos
en orden de prioridad
 Controlar eventos de riesgos y detectar actividades sospechosas
Ante cada evento de riesgo se tienen diferentes opciones de tratamiento:
Aceptar el riesgo y monitorear si su nivel de severidad es bajo
Disminuir el nivel de severidad reduciendo la posibilidad y el impacto
Evitar el evento del riesgo , deteniendo completamente el proceso que lo habilita
Transferirlo a un tercero, evitando que el riesgo total nos ocasione perdida.

Evaluar los controles nuevos y existentes , clasificados por :

Preventivo : disminuye la ocurrencia del riesgo
Detectivo : Es una alarma que se acciona ante una situacin anormal y cumple con las
cooperaciones de la organizacin ya sea este en forma manual o automatizada.
Se hace una clasificacin de los controles implementados, en desarrollo y los que no
existen
Valoracin donde se evala el control si es fuerte , moderado o dbil.
 Cmo se aplica el control a cada evento del riesgo?
Revisar la matriz y el control requerido para cada evento
Definir procedimientos para aplicar controles a procesos con contrapartes
Segmentacin de las partes por niveles de riesgos
Los procedimientos para el control y seguimiento de las contrapartes
La deteccin de operaciones inusuales.

Aplicar un plan para mitigacin de riesgos

Documentar acciones a ejecutar
Prioridad de la accin ( Alta, media o baja)
Responsable de la implementacin
Fecha de monitoreo
Recursos a utilizar
Asignacin de presupuestos
Calendario de implementacin
Detalles del mecanismo y frecuencia de la revisin

Controles detectivos

Conocer tipologas y seales de alerta.

 Comunicacin interna y externa en todos los niveles
Documentar todas las etapas del modelo, garantizando la
Integridad, Oportunidad, Confiabilidad y Disponibilidad
de la Informacin.
Los responsables deben custodiar los documentos:
Diagnstico de riesgos
Manual de Procedimientos de control y medicin de
riesgos
Evidencia de la creacin y funcionamiento del proceso
de gestin de riesgos
Registros de Efectividad y Evolucin de los controles.
Informes a la Organizacin y Entidades Externas de
Auditoria.
Definir el procedimiento para realizar los informes
externos e internos
Seguimientos y controles
Reportes exigidos por la Alta Direccin.
Establecer un programa de Capacitacin al
interior de la organizacin
Debe tener una periodicidad anual (
mensual, bimensual, trimestral, semestral)
Debe ser parte del proceso de induccin
para nuevos colaboradores
Ser evaluado constantemente para
garantizar su efectividad y ser actualizado
Los colaboradores debern mostrar que
han ledo, entendido y se han
comprometido con la gestin del riesgo
Divulgacin a los interesados externos como
son Proveedores, Clientes y otras
contrapartes.
Establecer sanciones disciplinarias por el
incumplimiento a los controles establecidos
 Esta etapa debe permite lograr
detectar cualquier deficiencia en la
gestin del riesgo y a la vez debe
garantizar que todos los controles
estn funcionando de manera
oportuna y efectiva.
Los factores y eventos de riesgo
puede afectar su nivel de severidad,
probabilidad de impacto , as como
el costo de las opciones de
tratamiento.
Por lo tanto es necesario repetir el
ciclo de gestin de riesgos, esto se
denomina auto evaluacin de riesgos